一種實(shí)現(xiàn)web單點(diǎn)登錄的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種實(shí)現(xiàn)web單點(diǎn)登錄的方法及裝置。
【背景技術(shù)】
[0002] 堡壘機(jī)是一種運(yùn)維安全審計(jì)系統(tǒng)����,其主要的功能是單點(diǎn)登錄�����、帳號(hào)管理、資源授權(quán) 和操作審計(jì)�����。堡壘機(jī)通過(guò)對(duì)常用的運(yùn)維協(xié)議(如RDP��、VNC��、HTTP等)采用協(xié)議代理的方式�����, 切斷了運(yùn)維人員對(duì)服務(wù)器的直接訪問(wèn)���;具體的����,運(yùn)維人員對(duì)服務(wù)器進(jìn)行的所有運(yùn)維操作都 需要經(jīng)過(guò)堡壘機(jī)進(jìn)行��。堡壘機(jī)將運(yùn)維人員的操作記錄至日志文件中�����,供審計(jì)人員進(jìn)行安全 審計(jì)和追責(zé)�����。
[0003] 由此可見,通過(guò)堡壘機(jī)能夠?qū)崿F(xiàn)單點(diǎn)登錄功能����,其中,單點(diǎn)登錄是指在應(yīng)用系統(tǒng) 中�����,用戶只需要登錄一次即可訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)�����。采用單點(diǎn)登錄方式���,能夠簡(jiǎn)化 賬號(hào)登錄過(guò)程���,保護(hù)賬號(hào)和密碼的安全,以及便于對(duì)賬號(hào)的統(tǒng)一管理��。
[0004] 目前���,堡壘機(jī)實(shí)現(xiàn)單點(diǎn)登錄的過(guò)程為:在客戶端安裝專用登錄系統(tǒng)(軟件)�,在 該專用登錄系統(tǒng)中配置目的web服務(wù)器的登錄信息����,如用戶名、密碼��、登錄按鈕等����;當(dāng)專用 登錄系統(tǒng)檢測(cè)到用戶需要訪問(wèn)的目標(biāo)web服務(wù)器時(shí),專用登錄系統(tǒng)即啟動(dòng)IEdnternet Explorer ;網(wǎng)絡(luò)探路者)瀏覽器����,在IE瀏覽器中訪問(wèn)目的web服務(wù)器;并由專用登錄系統(tǒng)進(jìn) 行用戶名密碼代填���,實(shí)現(xiàn)單點(diǎn)登錄過(guò)程����。專用登錄系統(tǒng)與IE瀏覽器之間的信息交互通過(guò)瀏 覽器的OLE (Object Linking and Embedding;對(duì)象連接與嵌入)自動(dòng)化接口實(shí)現(xiàn)���。OLE技 術(shù)僅支持IE內(nèi)核的瀏覽器���,不能支持其他瀏覽器�;并且��,采用上述單點(diǎn)登錄方式�����,需要在客 戶端安裝軟件����,實(shí)現(xiàn)過(guò)程較為復(fù)雜。
[0005] 綜上所述�,現(xiàn)有技術(shù)中,采用堡壘機(jī)實(shí)現(xiàn)單點(diǎn)登錄方式存在實(shí)現(xiàn)復(fù)雜度高以及適 用范圍小的問(wèn)題�����。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實(shí)施例提供一種實(shí)現(xiàn)web單點(diǎn)登錄的方法及裝置����,用以解決現(xiàn)有技術(shù)中的 單點(diǎn)登錄方式存在實(shí)現(xiàn)復(fù)雜度高以及適用范圍小的問(wèn)題。
[0007] 本發(fā)明實(shí)施例提供的具體技術(shù)方案如下:
[0008] -種實(shí)現(xiàn)web單點(diǎn)登錄的方法���,應(yīng)用于基于堡壘機(jī)的系統(tǒng)架構(gòu)�,所述基于堡壘機(jī) 的系統(tǒng)包括客戶端���、目的web服務(wù)器��、以及具備代理服務(wù)功能的堡壘機(jī)��,所述方法包括:
[0009] 所述堡壘機(jī)接收客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求�����;其中�����,所述目的web服 務(wù)器訪問(wèn)請(qǐng)求中攜帶跨域訪問(wèn)cookie信息��,且所述跨域訪問(wèn)cookie信息由所述堡魚機(jī)根 據(jù)在本地的目的web服務(wù)器的管理界面中預(yù)先設(shè)置的所述目的web服務(wù)器的服務(wù)器信息生 成����;所述客戶端為將所述堡壘機(jī)作為代理服務(wù)器的客戶端�����;
[0010] 所述堡壘機(jī)根據(jù)所述跨域訪問(wèn)cookie信息�����,向目的web服務(wù)器轉(zhuǎn)發(fā)所述目的web 服務(wù)器訪問(wèn)請(qǐng)求,通知所述目的web服務(wù)器根據(jù)所述目的web服務(wù)器訪問(wèn)請(qǐng)求生成響應(yīng)數(shù) 據(jù)包���;
[0011] 當(dāng)所述堡壘機(jī)確定所述目的web服務(wù)器訪問(wèn)請(qǐng)求中攜帶的目的web服務(wù)器的登錄 界面的路徑信息正確時(shí)���,在所述響應(yīng)數(shù)據(jù)包中添加所述客戶端登錄所述目的web服務(wù)器的 用戶信息;
[0012] 所述堡壘機(jī)將添加用戶信息的響應(yīng)數(shù)據(jù)包發(fā)送至所述客戶端����,指示所述客戶端根 據(jù)所述添加用戶信息的響應(yīng)數(shù)據(jù)包單點(diǎn)登錄至所述目的web服務(wù)器。
[0013] 一種實(shí)現(xiàn)web單點(diǎn)登錄的裝置���,應(yīng)用于基于堡壘機(jī)的系統(tǒng)架構(gòu)�����,所述基于堡壘機(jī) 的系統(tǒng)包括客戶端��、目的web服務(wù)器�����,所述方法包括:
[0014] 接收單元�����,用于接收客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求�����;其中���,所述目的web 服務(wù)器訪問(wèn)請(qǐng)求中攜帶跨域訪問(wèn)cookie信息和目的web服務(wù)器標(biāo)識(shí),且所述跨域訪問(wèn) cookie信息為根據(jù)在目的web服務(wù)器的管理界面中預(yù)先設(shè)置的所述目的web服務(wù)器的服務(wù) 器信息生成�;所述客戶端為將本地作為代理服務(wù)器的客戶端;
[0015] 發(fā)送單元��,用于根據(jù)所述跨域訪問(wèn)cookie信息��,向目的web服務(wù)器轉(zhuǎn)發(fā)所述目的 web服務(wù)器訪問(wèn)請(qǐng)求���,通知所述目的web服務(wù)器根據(jù)所述目的web服務(wù)器訪問(wèn)請(qǐng)求生成響應(yīng) 數(shù)據(jù)包�;
[0016] 添加單元�����,用于當(dāng)確定所述目的web服務(wù)器訪問(wèn)請(qǐng)求中攜帶的目的web服務(wù)器的 登錄界面的路徑信息正確時(shí)���,在所述響應(yīng)數(shù)據(jù)包中添加所述客戶端登錄所述目的web服務(wù) 器的用戶信息����;
[0017] 發(fā)送單元,還用于將添加用戶信息的響應(yīng)數(shù)據(jù)包發(fā)送至所述客戶端����,指示所述客 戶端根據(jù)所述添加用戶信息的響應(yīng)數(shù)據(jù)包單點(diǎn)登錄至所述目的web服務(wù)器。
[0018] 本發(fā)明實(shí)施例中�����,在目的web服務(wù)器和客戶端之間設(shè)置具備代理服務(wù)功能的堡壘 機(jī)�,當(dāng)堡魚機(jī)接收到客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求時(shí),即根據(jù)跨域訪問(wèn)cookie信 息�����,直接將客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至目的web服務(wù)器�;并將目的web 服務(wù)器生成的響應(yīng)數(shù)據(jù)包添加登錄該目的web服務(wù)器的用戶信息后發(fā)送至客戶端;客戶端 加載上述添加用戶信息的響應(yīng)數(shù)據(jù)包�,單點(diǎn)登錄至目的web服務(wù)器。采用本發(fā)明是技術(shù)方 案���,將客戶端的代理服務(wù)器預(yù)設(shè)為堡壘機(jī)�,通過(guò)該堡壘機(jī)為該客戶端設(shè)置跨域訪問(wèn)cookie 信息,當(dāng)客戶端需要進(jìn)行單點(diǎn)登錄時(shí)�����,直接向堡壘機(jī)發(fā)送該跨域訪問(wèn)cookie信息���,客戶端 僅根據(jù)堡壘機(jī)發(fā)送的包含用戶信息的響應(yīng)數(shù)據(jù)包即可實(shí)現(xiàn)單點(diǎn)登錄���,無(wú)須在客戶端中安 裝專用登錄系統(tǒng),有效降低了實(shí)現(xiàn)單點(diǎn)登錄過(guò)程的復(fù)雜度�����;并且���,客戶端僅通過(guò)跨域訪問(wèn) cookie信息以及響應(yīng)數(shù)據(jù)包實(shí)現(xiàn)單點(diǎn)登錄,對(duì)客戶端瀏覽器沒(méi)有任何限制���,能夠適用于各 種能夠解析上述跨域訪問(wèn)cookie信息以及響應(yīng)數(shù)據(jù)包的瀏覽器�,適用性強(qiáng)�����。
【附圖說(shuō)明】
[0019] 圖1為本發(fā)明實(shí)施例中基于堡魚機(jī)的系統(tǒng)架構(gòu)不意圖;
[0020] 圖2為本發(fā)明實(shí)施例中實(shí)現(xiàn)web單點(diǎn)登錄的流程圖����;
[0021] 圖3為本發(fā)明實(shí)施例中web單點(diǎn)登錄過(guò)程信令交互示意圖;
[0022] 圖4為本發(fā)明實(shí)施例中具體應(yīng)用場(chǎng)景下單點(diǎn)登錄流程圖����;
[0023] 圖5為本發(fā)明實(shí)施例中實(shí)現(xiàn)web單點(diǎn)登錄裝置結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0024] 為了解決現(xiàn)有技術(shù)中的單點(diǎn)登錄方式存在實(shí)現(xiàn)復(fù)雜度高以及適用范圍小的問(wèn)題����。 本發(fā)明實(shí)施例中,當(dāng)堡壘機(jī)接收到客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求時(shí)���,即根據(jù)跨域 訪問(wèn)cookie信息���,直接將客戶端發(fā)送的目的web服務(wù)器訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至目的web服務(wù)器; 并將目的web服務(wù)器生成的響應(yīng)數(shù)據(jù)包添加登錄該目的web服務(wù)器的用戶信息后發(fā)送至客 戶端�����;客戶端加載上述添加用戶信息的響應(yīng)數(shù)據(jù)包����,單點(diǎn)登錄至目的web服務(wù)器���。采用本發(fā) 明是技術(shù)方案,將客戶端的代理服務(wù)器預(yù)設(shè)為堡壘機(jī)����,通過(guò)該堡壘機(jī)為該客戶端設(shè)置跨域 訪問(wèn)cookie信息,當(dāng)客戶端需要進(jìn)行單點(diǎn)登錄時(shí)�����,直接向堡魚機(jī)發(fā)送該跨域訪問(wèn)cookie信 息��,客戶端僅根據(jù)堡壘機(jī)發(fā)送的包含用戶信息的響應(yīng)數(shù)據(jù)包即可實(shí)現(xiàn)單點(diǎn)登錄�,無(wú)須在客 戶端中安裝專用登錄系統(tǒng),有效降低了實(shí)現(xiàn)單點(diǎn)登錄過(guò)程的復(fù)雜度��;并且��,客戶端僅通過(guò)跨 域訪問(wèn)cookie信息以及響應(yīng)數(shù)據(jù)包實(shí)現(xiàn)單點(diǎn)登錄�,對(duì)客戶端瀏覽器沒(méi)有任何限制��,能夠適 用于各種能夠解析上述跨域訪問(wèn)cookie信息以及響應(yīng)數(shù)據(jù)包的瀏覽器���,適用性強(qiáng)����。
[0025] 參閱圖1所示,為本發(fā)明實(shí)施例中基于堡壘機(jī)的系統(tǒng)架構(gòu)示意圖�����,該基于堡壘機(jī) 的系統(tǒng)包括客戶端��、堡壘機(jī)���、目的web服務(wù)器���。其中,客戶端�����,用于向用戶呈現(xiàn)操作界面��,并 向堡壘機(jī)發(fā)送目的web服務(wù)器登錄請(qǐng)求等����;堡壘機(jī)用于轉(zhuǎn)發(fā)客戶端至目的web服務(wù)器的數(shù) 據(jù)包,以及轉(zhuǎn)發(fā)目的web服務(wù)器至客戶端的數(shù)據(jù)包��,且該堡壘機(jī)中包含目的web服務(wù)器的管 理界面,通過(guò)該目的web服務(wù)器的管理界面����,能夠在堡壘機(jī)中設(shè)置各個(gè)目的web服務(wù)器的 服務(wù)器信息,以對(duì)各個(gè)目的web服務(wù)器進(jìn)行管理��,該